HackTricksPreuzimanje naloga
Reading time: 6 minutes
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Problem sa autorizacijom
Email naloga treba pokušati promeniti, a proces potvrde mora biti ispitan. Ako se utvrdi da je slab, email treba promeniti na onaj koji pripada nameravanoj žrtvi i zatim potvrditi.
Problem sa normalizacijom Unicode-a
- Nalog nameravane žrtve
victim@gmail.com - Treba kreirati nalog koristeći Unicode
na primer:vićtim@gmail.com
Kao što je objašnjeno u ovom predavanju, prethodni napad se takođe može izvršiti zloupotrebom identiteta treće strane:
- Kreirati nalog kod treće strane sa sličnim email-om kao žrtva koristeći neki unicode karakter (
vićtim@company.com). - Treća strana ne bi trebala da verifikuje email
- Ako identitetski provajder verifikuje email, možda možete napasti deo domena kao što je:
victim@ćompany.comi registrovati taj domen i nadati se da identitetski provajder generiše ascii verziju domena dok platforma žrtve normalizuje naziv domena. - Prijavite se putem ovog identitetskog provajdera na platformu žrtve koja bi trebala normalizovati unicode karakter i omogućiti vam pristup nalogu žrtve.
Za više detalja, pogledajte dokument o normalizaciji Unicode-a:
Ponovno korišćenje reset tokena
Ako ciljni sistem dozvoljava ponovno korišćenje reset linka, treba uložiti napore da se pronađe više reset linkova koristeći alate kao što su gau, wayback, ili scan.io.
Pre preuzimanja naloga
- Email žrtve treba koristiti za registraciju na platformi, a lozinka treba biti postavljena (pokušaj potvrde treba izvršiti, iako nedostatak pristupa email-ovima žrtve može učiniti ovo nemogućim).
- Treba čekati dok žrtva ne registruje koristeći OAuth i potvrdi nalog.
- Nadamo se da će redovna registracija biti potvrđena, omogućavajući pristup nalogu žrtve.
CORS pogrešna konfiguracija za preuzimanje naloga
Ako stranica sadrži CORS pogrešne konfiguracije, možda ćete moći da ukradete osetljive informacije od korisnika kako biste preuzeli njegov nalog ili ga naterali da promeni informacije o autentifikaciji u istu svrhu:
CORS - Misconfigurations & Bypass
CSRF za preuzimanje naloga
Ako je stranica ranjiva na CSRF, možda ćete moći da naterate korisnika da izmeni svoju lozinku, email ili autentifikaciju kako biste zatim mogli da mu pristupite:
CSRF (Cross Site Request Forgery)
XSS za preuzimanje naloga
Ako pronađete XSS u aplikaciji, možda ćete moći da ukradete kolačiće, lokalnu memoriju ili informacije sa web stranice koje bi vam mogle omogućiti preuzimanje naloga:
Ista domena + Kolačići
Ako pronađete ograničen XSS ili preuzimanje poddomena, mogli biste se igrati sa kolačićima (fiksirajući ih, na primer) kako biste pokušali da kompromitujete nalog žrtve:
Napad na mehanizam resetovanja lozinke
Reset/Forgotten Password Bypass
Manipulacija odgovorom
Ako se odgovor na autentifikaciju može smanjiti na jednostavnu boolean vrednost, pokušajte da promenite false u true i vidite da li dobijate bilo kakav pristup.
OAuth za preuzimanje naloga
Injekcija Host zaglavlja
- Host zaglavlje se menja nakon iniciranja zahteva za resetovanje lozinke.
X-Forwarded-Forproxy zaglavlje se menja uattacker.com.- Host, Referrer i Origin zaglavlja se istovremeno menjaju u
attacker.com. - Nakon iniciranja resetovanja lozinke i zatim odabira ponovnog slanja maila, koriste se sve tri prethodno navedene metode.
Manipulacija odgovorom
- Manipulacija kodom: Status kod se menja u
200 OK. - Manipulacija kodom i telom:
- Status kod se menja u
200 OK. - Telo odgovora se menja u
{"success":true}ili prazan objekat{}.
Ove tehnike manipulacije su efikasne u scenarijima gde se JSON koristi za prenos i prijem podataka.
Promena email-a trenutne sesije
Iz ovog izveštaja:
- Napadač traži da promeni svoj email na novi
- Napadač prima link za potvrdu promene email-a
- Napadač šalje žrtvi link da ga klikne
- Email žrtve se menja na onaj koji je naznačio napadač
- Napadač može povratiti lozinku i preuzeti nalog
Ovo se takođe desilo u ovom izveštaju.
Zaobilaženje verifikacije email-a za preuzimanje naloga
- Napadač se prijavljuje sa attacker@test.com i verifikuje email prilikom registracije.
- Napadač menja verifikovani email na victim@test.com (bez sekundarne verifikacije prilikom promene email-a)
- Sada web sajt omogućava victim@test.com da se prijavi i zaobišli smo verifikaciju email-a korisnika žrtve.
Stari kolačići
Kao što je objašnjeno u ovom postu, bilo je moguće prijaviti se na nalog, sačuvati kolačiće kao autentifikovani korisnik, odjaviti se, a zatim se ponovo prijaviti.
Sa novim prijavljivanjem, iako su možda generisani različiti kolačići, stari su ponovo počeli da rade.
Reference
- https://infosecwriteups.com/firing-8-account-takeover-methods-77e892099050
- https://dynnyd20.medium.com/one-click-account-take-over-e500929656ea
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.